بررسی مشکل فنی گواهینامه SSL رایگان Let’s Encrypt
Let’s Encrypt CAA Rechecking Bug
در روز شنبه 10 اسفند 1398، خبری از سایت اصلی Let’s Encrypt مبنی بر وجود مشکل فنی در گواهینامههای SSL رایگان منتشر شد. این باگ مربوط به ایجاد رکورد CAA مربوط به گواهینامههای SSL رایگان Let’s Encrypt میباشد. اما CAA چیست؟ چگونه این مشکل برای گواهینامههای اس اس ال رایگان ایجاد شده است؟ با ما همراه باشید.
رکورد CAA چیست؟
رکورد CAA (Certification Authority Authorization) یک رکورد مخصوص دامنه است. این رکورد از طرف دامنه به شرکتهای ارائه دهنده گواهینامه SSL اعلام میکند که آیا امکان ارائه گواهینامه SSL برای آنها فراهم است یا خیر! همچنین این رکورد اعلام میکند که کدام شرکت حق ارائه گواهینامه برای آن را دارد. اگر این رکورد وجود نداشته باشد، هر شرکتی امکان ایجاد و ارائه گواهینامه CA را دارد. بنابراین این رکورد بیشتر جنبه امنیتی داشته و جزو مواردی است که وجود آن ضرروی نیست.
به طور ساده، CAA نوعی رکورد DNS است که به صاحبان وبسایتها اجازه میدهد تا مشخص کنند کدام مرجع صدور گواهینامه (CA)، مجاز به صدور گواهینامههای حاوی نام دامنه خود هستند. این استاندارد در سال 2013 توسط RFC 6844 ایجاد شد تا به یک CA اجازه دهد “خطر صدور گواهینامه اشتباه ناخواسته را کاهش دهد.”. این بدان معناست که اگر در هر یک از فرآیندهای اعتبارسنجی CAهای عمومی اشکالی وجود داشته باشد، هر نام دامنه به طور بالقوه تحت تأثیر قرار میگیرد. CAA در واقع راهی برای صاحبان دامنه برای کاهش این خطر و ریسک را فراهم میکند.
روند تولید کد CA در Let’s Encrypt
شرکت Let’s Encrypt نرم افزار تولید کد CA به نام Boulder دارد. این نرم افزار وظیفه چک کردن رکورد CAA و ایجاد گواهینامه SSL را بر عهده دارد. اکثر کاربران پس از آنکه رکورد CAA آنها چک شد، بلافاصله گواهینامه SSL برایشان ارسال میشود. شرکت Let’s Encrypt اعتبار درستی این قضیه CAA را 30 روزه در نظر میگیرد. این بدان معنی است که دیگر در این 30 روز امکان بررسی مجدد آن وجود ندارد.
حال مشکل اصلی از کجا بود؟
مشکل اصلی از سمت ایجاد رکوردهای CAA بود. یعنی وقتی در خواست یک گواهینامه شامل N دامنه باشد و نیازمند تایید مجدد CAA باشد، برنامه Boulder یک دامنه را انتخاب کرده و آن را N بار چک میکند. چیزی که در عمل اتفاق میافتد این است که اگر یک دامنه توسط درخواست دهنده در زمان X تایید گردد و رکوردهای CAA برای آن دامنه امکان صدور گواهینامه را بدهد، آن درخواست کننده میتواند گواهینامه دیگری شامل آن دامنه تا زمان X + 30 روز صادر کند. حتی اگر کس دیگری بعد از آن رکورد های CAA دیگری برای آن دامنه که توسط Lets encrypt برای صدور گواهینامه مجاز نباشد، نصب کرده باشد.
پس ایراد آنجایی پیدا میشود که صدور آن گواهینامه مجاز شناخته نشود. در این صورت از لحاظ امنیتی برای سایت مشکل ساز خواهد بود. یعنی هر شخصی میتواند با یک درخواست CA ، چندین گواهینامه مختلف که ممکن است غیرمجاز باشد برای دامنه خود صادر کند.
البته شرکت Let’s Encrypt گواهینامههای قبلی خود را لغو و گواهینامههای جدیدی را صادر کرد. ما در نتافراز جهت حفظ امنیت کاربران، تمامی گواهینامههای SSL رایگان نصب شده قبلی را لغو و گواهینامههای جدید را نصب کردیم.
کلام آخر …
توجه داشته باشید که شرکت Let’s Encrypt یک شرکت مردمی جهت ارائه رایگان گواهینامه SSL است. تمامی فعالیتهای این شرکت برای افزایش امنیت وبسایتهای در سراسر جهان به صورت رایگان میباشد. بنابراین در این زمینه ممکن است با مشکلاتی مواجه شوند که در آینده نیز ممکن است باز هم تکرار شود.
گواهینامههای غیر رایگان به دلیل داشتن گارانتی و همچنین پشتیبانی مناسب، تقریبا بدون عیب فعالیت میکنند. همچنین در صورت وجود هر مشکلی به دلیل وجود گارانتی معتبر میتوان با پیگیری، مبلغ خسارت را از آنها دریافت کرد.
همچنین این شرکتها با ارائه گواهینامه معتبر در بهبود سئوی سایت شما نیز کمک میکنند.
جهت سفارش گواهینامه SSL از شرکت معتبر لهستانی Certum از نتافراز بر روی لینک زیر کلیک کنید.
شاد و پیروز باشید.
